Security and Privacy Threats on Mobile Devices through Side-Channels Analysis

In recent years, mobile devices (such as smartphones and tablets) have become essential tools in everyday life for billions of people all around the world. Users continuously carry such devices with them and use them for daily communication activities and social network interactions. Hence, such devices contain a huge amount of private and sensitive information. For this reason, mobile devices become popular targets of attacks. In most attack settings, the adversary aims to take local or remote control of a device to access user sensitive information. However, such violations are not easy to carry out since they need to leverage a vulnerability of the system or a careless user (i.e., install a malware app from an unreliable source). A different approach that does not have these shortcomings is the side-channels analysis. In fact, side-channels are physical phenomenon that can be measured from both inside or outside a device. They are mostly due to the user interaction with a mobile device, but also to the context in which the device is used, hence they can reveal sensitive user information such as identity and habits, environment, and operating system itself. Hence, this approach consists of inferring private information that is leaked by a mobile device through a side-channel. Besides, side-channel information is also extremely valuable to enforce security mechanisms such as user authentication, intrusion and information leaks detection. This dissertation investigates novel security and privacy challenges on the analysis of side-channels of mobile devices. This thesis is composed of three parts, each focused on a different side-channel: (i) the usage of network traffic analysis to infer user private information; (ii) the energy consumption of mobile devices during battery recharge as a way to identify a user and as a covert channel to exfiltrate data; and (iii) the possible security application of data collected from built-in sensors in mobile devices to authenticate the user and to evade sandbox detection by malware. In the first part of this dissertation, we consider an adversary who is able to eavesdrop the network traffic of the device on the network side (e.g., controlling a WiFi access point). The fact that the network traffic is often encrypted makes the attack even more challenging. Our work proves that it is possible to leverage machine learning techniques to identify user activity and apps installed on mobile devices analyzing the encrypted network traffic they produce. Such insights are becoming a very attractive data gathering technique for adversaries, network administrators, investigators and marketing agencies. In the second part of this thesis, we investigate the analysis of electric energy consumption. In this case, an adversary is able to measure with a power monitor the amount of energy supplied to a mobile device. In fact, we observed that the usage of mobile device resources (e.g., CPU, network capabilities) directly impacts the amount of energy retrieved from the supplier, i.e., USB port for smartphones, wall-socket for laptops. Leveraging energy traces, we are able to recognize a specific laptop user among a group and detect intruders (i.e., user not belonging to the group). Moreover, we show the feasibility of a covert channel to exfiltrate user data which relies on temporized energy consumption bursts. In the last part of this dissertation, we present a side-channel that can be measured within the mobile device itself. Such channel consists of data collected from the sensors a mobile device is equipped with (e.g., accelerometer, gyroscope). First, we present DELTA, a novel tool that collects data from such sensors, and logs user and operating system events. Then, we develop MIRAGE, a framework that relies on sensors data to enhance sandboxes against malware analysis evasion.

Negli ultimi anni, i dispositivi mobili (come smartphone e tablet) sono diventati strumenti essenziali nella vita di tutti i giorni per miliardi di persone in tutto il mondo. Gli utenti utilizzano continuamente tali dispositivi per le attività quotidiane di comunicazione e le interazioni dei social network. Quindi, tali dispositivi contengono un'enorme quantità di informazioni private e sensibili. Per questo motivo, i dispositivi mobili diventano popolari bersagli di attacchi. Nella maggior parte degli attacchi ai dispositivi mobili, l'avversario ha l'obiettivo di prendere il controllo locale o remoto del dispositivo, per accedere alle informazioni sensibili dell'utente. Tuttavia, tali violazioni non sono facili da portare a termine poiché devono sfruttare una vulnerabilità del sistema o un utente distratto (ad esempio, installare un'app malware da una fonte inaffidabile). Un approccio diverso che non ha queste carenze è l'analisi dei canali laterali. In effetti, i canali laterali sono fenomeni fisici misurabili dall'interno o dall'esterno di un dispositivo. Sono principalmente dovuti all'interazione dell'utente con un dispositivo mobile, ma anche al contesto in cui viene utilizzato il dispositivo, quindi possono rivelare informazioni private tra cui l'identità e abitudini, ambiente e sistema operativo stesso. Quindi, questo approccio consiste nel dedurre informazioni private che sono trapelate da un dispositivo mobile attraverso un canale laterale. Inoltre, le informazioni sul canale laterale sono estremamente preziose per rafforzare i meccanismi di sicurezza come l'autenticazione dell'utente, l'intrusione e il rilevamento di furto di informazioni. Questa tesi studia le nuove sfide relative alla sicurezza e alla privacy nell'analisi dei canali secondari dei dispositivi mobili. Questa tesi è composta da tre parti, ognuna focalizzata su un canale laterale diverso: (i) l'uso dell'analisi del traffico di rete per dedurre le informazioni private dell'utente; (ii) il consumo di energia dei dispositivi mobili durante la ricarica della batteria come mezzo per identificare un utente e come canale nascosto per estrarre i dati; e (iii) l'eventuale applicazione di sicurezza dei dati raccolti dai sensori integrati nei dispositivi mobili per autenticare l'utente e per evitare il rilevamento di sandbox da parte di malware. Nella prima parte di questa tesi, consideriamo un avversario in grado di intercettare il traffico di rete del dispositivo sul lato della rete (ad esempio, controllando un punto di accesso WiFi). Il fatto che il traffico di rete sia spesso crittografato rende l'attacco ancora più impegnativo. Il nostro lavoro dimostra che è possibile sfruttare le tecniche di machine learning per identificare le attività degli utenti e le app installate sui dispositivi mobili analizzando il traffico di rete crittografato che producono. Queste informazioni stanno diventando una tecnica di raccolta dati molto attraente per avversari, amministratori di rete, investigatori e agenzie di marketing. Nella seconda parte di questa tesi, esaminiamo l'analisi del consumo di energia elettrica. In questo caso, un avversario è in grado di misurare con un monitor di potenza la quantità di energia fornita a un dispositivo mobile. Infatti, abbiamo osservato che l'utilizzo delle risorse del dispositivo mobile (ad es. CPU, capacità di rete) influisce direttamente sulla quantità di energia erogata, ovvero dalla porta USB per smartphone o dalla presa a muro per laptop. Sfruttando le tracce di energia, siamo in grado di riconoscere uno specifico utente di laptop in un gruppo e a rilevare potenziali intrusi (ad esempio, l'utente non appartenente al gruppo). Inoltre, mostriamo la fattibilità di un canale nascosto per estrarre dati dell'utente che si basa su picchi temporizzati di consumo di energia. Nell'ultima parte di questa tesi, presentiamo un canale laterale che può essere misurato all'interno del dispositivo mobile stesso. Tale canale è costituito da dati raccolti dai sensori di cui è dotato un dispositivo mobile (ad es. accelerometro, giroscopio). Innanzitutto, presentiamo DELTA, un nuovo strumento che raccoglie i dati da tali sensori e registra gli eventi degli utenti e del sistema operativo. Dopodichè presentiamo MIRAGE, un framework che si basa sui dati dei sensori per migliorare le sandbox contro l'evasione delle analisi malware.